EP2090952A2 - Hydraulic component control device and method for controlling hydraulic components - Google Patents

Hydraulic component control device and method for controlling hydraulic components Download PDF

Info

Publication number
EP2090952A2
EP2090952A2 EP09001234A EP09001234A EP2090952A2 EP 2090952 A2 EP2090952 A2 EP 2090952A2 EP 09001234 A EP09001234 A EP 09001234A EP 09001234 A EP09001234 A EP 09001234A EP 2090952 A2 EP2090952 A2 EP 2090952A2
Authority
EP
European Patent Office
Prior art keywords
function
monitoring
monitoring function
control
watchdog
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP09001234A
Other languages
German (de)
French (fr)
Other versions
EP2090952A3 (en
Inventor
Michael Brand
Reinhart Rückert
Tobias Müller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102008021313A external-priority patent/DE102008021313A1/en
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP2090952A2 publication Critical patent/EP2090952A2/en
Publication of EP2090952A3 publication Critical patent/EP2090952A3/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24044Second controller monitors diagnostics system of first controller
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24125Watchdog, check at timed intervals

Definitions

  • the invention relates to a hydraulic component control device and a method for controlling hydraulic components by means of a control device.
  • Defects in hydraulic component controls such as drive hydraulics and work hydraulics in mobile work machines, pose risks to the environment of the mobile work machines.
  • Mobile work machines are, for example, construction machines, agricultural machines, or groundscare machines.
  • SRP / CS safety-related part control system
  • each SRP / CS has safety-related input signals and safety-related output signals.
  • Safety categories 3 or 4 require that a single fault in a system component that affects the safety function must not lead to the loss of the safety function. Any errors that result in the loss of the safety function must be detected within the time that the error can have a critical impact, the so-called fault tolerance time. In addition, a transfer of the system to a safe state must be guaranteed or the faults must be dealt with via effective external measures with regard to the electronic control system.
  • a two-channel architecture is proposed for category 3.
  • the controlling logic units are provided multiple times and the calculations of the logic units compared with each other via a cross comparison.
  • the amount of hardware required is increased, which also increases the unit cost of the machine.
  • the object of the invention is to provide a method for operating hydraulic components by means of a control unit, the high safety requirements especially with low requirements on the hardware of the controller is sufficient.
  • Another object of the invention is to provide a hydraulic component control unit, with which even high safety requirements can be met with little circuit complexity.
  • a method for controlling hydraulic components by means of a control device, in which a control function for controlling the hydraulic components and a monitoring function mutually monitor each other.
  • safety category 3 or 4 requirements of safety category 3 or 4 can be met with a fairly simple software and hardware structure.
  • control function Since the control function is set up so that it also serves to monitor the monitoring function, both functions monitor each other so that individual errors of the monitoring function are detected.
  • a conventional, Separately executed control function which in turn monitors the monitoring function, can be saved.
  • a watchdog for monitoring the functions of the microcontroller can be provided, wherein the watchdog is preferably provided in a circuit outside of a processor of the microcontroller and receives its input and output signals from the monitoring function.
  • the watchdog preferably has the ability to disable the power outputs of the controller 20.
  • the provision of the watchdog outside the processor ensures that it can not be affected by processor errors.
  • the fact that only the monitoring function triggers the watchdog simplifies the software concept. Continuous program execution on the microcontroller is only allowed with this concept if the monitoring function has been correctly called after checking by the control function and if the monitoring function detects the correct function of the control function and triggers the watchdog.
  • the watchdog is preferably designed so that a successful triggering requires the full function of the microcontroller. Thus, errors in the microcontroller lead to shutdowns of the control unit 20.
  • triggering the watchdog includes that the monitoring function receives a request from the watchdog that, on the basis of the request, the monitoring function executes predetermined operations on the microcontroller and based on these operations Provides response, and that the watchdog compares the answer with an expected value. As a result, the monitoring function with respect to the watchdog after a proper functioning of the microcontroller.
  • the monitoring function 24 are also supplied inputs for detecting state variables of the hydraulic components.
  • the manipulated variables for the hydraulic components are controlled, but also subsequent links of the timing chain. This provides additional security, because thus both the incorrect specification of a manipulated variable by the control function and additional errors of the subsequent members of the electro-hydraulic timing chain can be detected.
  • the control unit has a first shutdown device and a second shutdown device, both of which can be actuated independently of one another by the monitoring function or by the control function.
  • the shutdown devices may e.g. a disconnect switch for a power supply of output power amplifiers, a reset mechanism of the microcontroller or a forced specification of a safe setpoint to the control function.
  • the control function can also control the outputs to a safe manipulated variable, normally without current.
  • a non-volatile data memory for example an EEPROM memory or a flash memory-is protected as follows or checked by the monitoring function:
  • the data memory is subdivided into data blocks, so-called pages.
  • the data is stored on one page and stored a second time in a different form on a second page in the data memory, the so-called shadow page.
  • When writing each calculated for the page and the shadow page a checksum and also stored.
  • the data is compared between the page and the shadow page.
  • the checksums of the page and the shadow page are also recalculated and compared with the stored checksums.
  • the data is mutually restored depending on the error. If a restoration is not possible if several errors occur, an error message is generated and the entire system is transferred to a defined state.
  • the monitoring function performs check accesses to said nonvolatile data memory.
  • the hydraulic component control device according to the invention for drive hydraulics or working hydraulics of mobile machines is particularly advantageous. Such mobile machines regularly pose risks to their environment due to their size and powerful drives.
  • the call that was not made within a specific time can already be recognized as an error condition.
  • This time is expediently the fault tolerance time within which an error does not yet have a critical effect.
  • the detection of such an error condition occurs e.g. via a watchdog.
  • the monitoring function accesses a memory area other than the control function, then a simple architecture exists in which errors can be easily detected by unforeseen memory accesses.
  • the monitoring function performs the calculations for monitoring the control function two times each, the calculations being performed in different memory areas. This ensures that the probability of not detecting an error in the monitoring function decreases.
  • the monitoring function performs a checksum memory test of a memory area in which the program code u.A. the monitoring function or the control function are stored so that errors are detected quickly.
  • the monitor function is called multiple times and at the beginning and end of each call, a checksum of its memory area is calculated.
  • the checksum calculated at the beginning of a call is compared to the checksum calculated at the end of each previous call. Thus, it is checked whether the space provided for the monitoring function memory area has been overridden by other functions inadmissible.
  • FIG. 1 shows the structure of a hydraulic component control device 20 according to the invention.
  • a hydraulic component control unit 20 also referred to below as control unit 20, from Bosch Rexroth is used.
  • the control unit 20 includes a microcontroller 22, a first shutdown device 25, a second shutdown device 26 and an external watchdog 27.
  • the microcontroller 22 is a single-channel, therefore contains a processor 21.
  • the controller 20 in addition to the microcontroller 22 and a RAM Memory 29, a flash memory 35 and an EEPROM memory 36 each provided as individual components.
  • control function 23 and the monitoring function 24 are implemented as software programs.
  • the control function 23 and the monitoring function 24 each receive the default signal 40, which controls the two functions from the outside.
  • the control function 23 controls via the control signal 46, the hydraulic components 30, each having a drive or work function.
  • the hydraulic components are, for example, hydraulic motors (hydraulic motors) or hydraulic pumps.
  • the sensors 31 measure the state of the hydraulic components 30, for example their control pressure or their swivel angle. The corresponding measurement values are routed via the feedback signal line 45 to both the control function 23 and the monitoring function 24.
  • the monitoring function 24 is called at regular intervals by the control function 23 and checks the function of the control function 23. In addition, the monitoring function 24 also checks itself and the control function 23 also checks the function of the monitoring function 24.
  • the control function 23 and the monitoring function 24 use the RAM Memory 29 as a working memory. There is a first memory area 29a, which only the control function 23 uses, while the second memory area 29b uses only the monitoring function 24.
  • the monitoring function 24 is also referred to below as monitor 24.
  • control function 23 and the monitoring function 24 have read access to the flash memory 35 only.
  • the first shutdown device 25 is actively actuated by the control function 23 when the control function 23 detects an error. Accordingly, the second shutdown device 26 is actuated when the monitoring function 24 detects an error.
  • the first shut-off device 25 and the second shut-off device 26 can each shell out the control unit 20.
  • the watchdog 27 can also actively actuate the second shutdown device 26 in order to switch off the control device 20 or its actuating signal 46. Examples of such shutdown devices 25 and 26 are a central switch, ie a disconnect switch for the power supply of an output amplifier, various reset mechanisms of the microcontroller or a forced specification of a safe setpoint to the control function.
  • the control function can also control the outputs to a safe manipulated variable, normally without current.
  • the turn-off devices 25 and 26 are provided outside the microcontroller 22. Embodiments are also possible in which the turn-off devices 25 and 26 are provided in the microcontroller 22.
  • the external watchdog 27 is triggered by the monitor 24. This means that the monitor 24 outputs a trigger signal 42 at regular intervals. If the external watchdog 27 does not receive the trigger signal, it switches off the central switch of the control unit 20 within the fault tolerance time. In addition, a reset of the microcontroller 22 is preferably triggered after a further delay. This delay is provided to allow the control function 23 time to save the cause of the fault.
  • the central switch is a circuit breaker in the control unit 20, which switches off all power outputs of the control unit 20 at the same time. In addition, each output can be switched off individually. The outputs can only be switched on individually if the central switch is also switched on.
  • an internal watchdog 39 which also is triggered by the monitoring function 24 provided.
  • the external watchdog 27 offers a higher level of security than the internal watchdog 39, since an error within the microcontroller 22 can also influence the internal watchdog 39.
  • the risk analysis for some safety functions has yielded performance level d in accordance with the aforementioned standard DIN EN ISO 13849-1: 2006.
  • This performance level is preferably represented by a structure corresponding to category 3.
  • Category 3 or 4 means that a single fault in a system component that influences the safety function must not lead to the loss of the safety function. Any errors that result in the loss of the safety function must be detected within the time that the error can be critical, and the system must be placed in a safe state, or the errors must be remedied by means of effective external measures. of the electronic control system.
  • the monitor 24 consists of a separate program part with separated from the addresses flash and RAM area.
  • the monitor 24 monitors itself and the control function 23.
  • the monitor 24 evaluates the results of self-test functions of the microcontroller 22. These are usually in a bios of the microcontroller 22 available.
  • the monitor can switch off the control unit 20 via the external watchdog 27 or initiate other measures to bring the system into a safe state.
  • the control function 23 monitors the monitor 24 and can also shut down the system in the event of an error.
  • the mutual monitoring of the monitor 24 and the control function 23 ensures that errors in one of the two functions are recognized in good time, even if they are not recognized within their own function.
  • the monitor 24 is called regularly by the control function 23.
  • the control function in turn waits for the correct execution of the monitoring function before further control values are calculated. This tests the accuracy of the monitoring function 24 at appropriate intervals, which is a requirement for category 3.
  • FIG. 2 It is the FIG. 2 divided into four columns.
  • One of the program run monitoring bits PLU of the control function 23 is shown in the first column.
  • the program steps of the control function 23 In the second column are the program steps of the control function 23, in the third column the program steps of the monitor 24 and in the right column the monitor enable bits SBFPF [1: 7] are drawn.
  • the program step Sx of the control function 23 is displayed, which calls the monitoring function 24 and thereby the first program step U1 of the monitoring function.
  • program run watch bit PLU [0] is at zero and monitor enable bits SBFPF [1: 7] are all at zero.
  • CRC cyclic redundancy check
  • checksums differ from the end of the last and the beginning of the current cycle, it is assumed that prohibited memory accesses have been carried out by other software parts, for example by interrupts or by the control function 23, or the memory area does not work properly on the hardware side.
  • step U1 It is also checked in step U1 whether the control function 23 has correctly reset the monitor enable bits SBFBF [1: 7] to zero. If these tests do not result in an error, bit 1 in the enable bit field SBFBF is set to 1.
  • step U2 the RAM stuck to test and the coupling fault test are performed. If both indicate that there is no error, bit SBFBF [2] is set to 1. In addition, before setting an SBFBF bit, a check is made as to whether the bits to be set by the previously executed steps - here U1 - were actually set. Thus, the correct execution of the monitoring function 24 can be checked.
  • the second RAM memory area 29b used by the monitor 24 is grouped into structures. These structures perform a self-test before execution of the monitor 24 in each cycle. This test captures stuck-to errors and simple coupling errors between data and / or address lines. Stuck-to-errors are single failures in which a memory cell always outputs a fixed value, even if it was previously described with a different value.
  • the stucco-to-test checks the RAM for expected values and checks them. This will also detect errors in the RAM accesses. Coupling errors lead to changes of several memory areas at the same time, if only it is intended to change individual memory areas. In order to test the monitoring function, errors are indicated, for example, during the commissioning test by an additional module via conditional compilation, which configures RAM areas via CAN bus irritation. These indexed errors are used to verify that the monitor detects the error.
  • step U3 the logical program run monitoring of the application is performed.
  • bit PLU [0] and bit SBFBF [3] are each set to one.
  • step U4 the flash memory in which the monitor 24 is implemented is tested.
  • the monitor 24 is located in a separate ROM section. This section is checked cyclically with a linear checksum for changes to the run-up. For reasons of runtime, only part of the checksum is calculated per cycle U1 to U9. After several cycles, the entire range is calculated - even within the error tolerance time - and the comparison with the checksum during startup can be performed.
  • the correctness of the Flash at startup would be checked by the BIOS via the CRC checksum check at system startup.
  • step U4 If no error occurred in step U4, the SBFBF [4] bit is set to 1.
  • the correct processing of CPU commands is checked via sample calculations with specified results.
  • a cyclic CPU test is executed by the BIOS.
  • the result of all BIOS internal tests is queried by the monitoring function 24.
  • step U5 the monitoring functions of the 1st instance are performed.
  • the monitor 24 calculates, among other things, independently of the control function 23, the control values to be output by the control function. Not only the electronic control functions to the actuator, but the entire drive train on the feedback of output signals such as speeds, hydraulic pressures in traction drive functions or angle checked at work hydraulics function. As a result, all sensor information available via the control function is included in the monitoring. By using the sensor information also in the control function itself, the availability of the signals is constantly testable and there are no increased unit costs for the representations of the safety function.
  • step U6 the monitoring routines are performed on a second instance of the monitor 24.
  • the application-specific safety functions are checked using two instances of this structure. The two are expected one after the other. The results are compared.
  • the same software routine is performed in the same hardware, but working on a different data set. The content of the data set is the same, therefore the same calculation result is expected. If this is not the case, it can be concluded that there is a corruption of one of the two data sets, e.g. through interrupts during execution and RAM overrides.
  • step U7 the results from steps U1 to U6 are compared with expected values. Depending on the result of the comparison, defined measures are initiated and bit SBFBF [7] is set.
  • the triggering of the watchdog 27 takes place in such a way that a proof of the proper functioning of the microcontroller 20 with respect to the watchdog 27 is provided.
  • the monitoring function receives a request from the watchdog 27 to which it must respond in order to trigger.
  • the provision of the response requires e.g. Computation operations on the processor 21, the query of input variables, a readout of the flash memory 35, etc.
  • the watchdog checks the response and accepts the triggering if the answer corresponds to an expected value or range of values. Otherwise, the watchdog 27 brings about a safe state.
  • Another reaction possibility is the issuing of a warning to the operator. If an error is detected, then the operator of the machine and / or the environment will be warned visually or acoustically.
  • the operating instructions for the machine indicate how the operator has to react to warnings.
  • the monitor 24 may have higher priority than the control function 23, e.g. act on a speed setpoint of a diesel engine of a driven machine and reduce it.
  • the monitor 24 can reset the control value calculated by the control function such that the hydraulic motor pivots in the direction of the minimum pivoting angle.
  • the interruption of the oil supply of the hydraulic system is provided, which takes place, for example, by a valve on the hydraulic block. This is usually relevant for working hydraulics.
  • step U8 the internal watchdog 39 and the external watchdog 27 are triggered if it was found from the steps U1 to U7 that the initiation of a safe state is not necessary.
  • a CRC-16 check sum is again formed in step U9 via the content of the second memory 29b.
  • the control function 23 is transferred again, which carries out the step S1. In this, it is checked whether the monitor 24 has completely set the enable bit field SRFBF to 1. Thus checked Also, the control function 23, the monitoring function 24, which increases the probability that errors are detected in the monitor 24.
  • the monitoring of an adjustable hydraulic motor is selected.
  • the control signal that is, the displacement
  • the speed can be detected. Further, e.g. the state of a parking brake and the pressures available in the hydraulic system are detected.
  • the speed of the hydraulic motor is influenced by the variables mentioned in a predictable way.
  • the output actuating signal namely the current for setting the swivel angle
  • the correct function of the control function 23 is detected.
  • the function of the hydraulic system can be tested.
  • an offset is added to the measured actual control value or the hydraulic motor speed during the commissioning test by an additional module in order to provoke the error.
  • an additional module By means of this indexed error it is checked whether the monitor 24 detects the error.
  • a non-volatile data memory for example an EEPROM memory or a flash memory-can be protected against errors or checked by the monitoring function as follows:
  • the data memory is subdivided into data blocks, so-called pages.
  • the data is stored on one page and stored a second time in a different form on a second page in the data memory, the so-called shadow page.
  • a checksum is calculated for the page and the shadow page and also saved.
  • each time data is read from the data store the data is compared between the page and the shadow page.
  • the checksums of the page and the shadow page are also recalculated and compared with the stored checksums.
  • the data is mutually restored depending on the error. If a restoration is not possible if several errors occur, an error message is generated and the entire system is transferred to a defined state.
  • the monitoring function can perform test accesses to the said non-volatile data memory and thus test the absence of errors.
  • the reading of the data from the nonvolatile data memory is accomplished, for example, by a function call. If, as described, errors occur or a data value can not be restored within the function call, the safe state of the system is initiated, for example, via the monitoring function.

Abstract

The controlling method involves implementing a control function (23) in a microcontroller (22) which is provided in a control device (20). The control function controls the hydraulic components, where the control function is monitored with the help of a monitoring function (24) which is implemented in the microcontroller. The monitoring function is monitored by the control function. An independent claim is included for a hydraulic component control device.

Description

Die Erfindung betrifft ein Hydraulikkomponenten-Steuergerät sowie ein Verfahren zum Ansteuern hydraulischer Komponenten mittels eines Steuergeräts. Fehler in Steuergeräten für hydraulische Komponenten wie Antriebshydrauliken und Arbeitshydrauliken in mobilen Arbeitsmaschinen stellen Risiken für die Umgebung der mobilen Arbeitsmaschinen dar. Mobile Arbeitsmaschinen sind beispielsweise Baumaschinen, Landmaschinen oder Kommunalmaschinen. Für Steuergeräte solcher mobiler Arbeitsmaschinen ist wie für alle Maschinen mit Sicherheitsanforderungen eine Risikoanalyse durchzuführen. Die Maschine wird dabei in sicherheitsbezogene Teile SRP/CS (safety related part control system) unterteilt, wobei jede SRP/CS sicherheitsbezogene Eingangssignale und sicherheitsbezogene Ausgangssignale hat. Für jede SRP/CS der Maschine wird dann anhand der Norm " Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze DIN EN ISO 13849-1:2006" ein sog. Performance Level hinsichtlich der Sicherheitsanforderungen festgelegt und anschließend eine Sicherheitskategorie für das sicherheitsbezogene Teil festgelegt, die die eine ausreichende Risikominimierung darstellt.The invention relates to a hydraulic component control device and a method for controlling hydraulic components by means of a control device. Defects in hydraulic component controls, such as drive hydraulics and work hydraulics in mobile work machines, pose risks to the environment of the mobile work machines. Mobile work machines are, for example, construction machines, agricultural machines, or groundscare machines. For control units of such mobile machines, as for all machines with safety requirements, a risk analysis has to be carried out. The machine is subdivided into safety-related parts SRP / CS (safety-related part control system), whereby each SRP / CS has safety-related input signals and safety-related output signals. For each SRP / CS of the machine, a so-called performance level with regard to the safety requirements is defined in accordance with the standard "Safety of Machinery - Safety-Related Parts of Controls - Part 1: General Design Guidelines DIN EN ISO 13849-1: 2006" and then a safety category for set the safety-related part, which represents the adequate risk minimization.

Die Sicherheitskategorien 3 oder 4 erfordern, dass ein Einzelfehler in einer Systemkomponente, die die Sicherheitsfunktion beeinflusst, nicht zum Verlust der Sicherheitsfunktion führen darf. Alle Fehler, die zum Verlust der Sicherheitsfunktion führen, müssen innerhalb der Zeit, in der sich der Fehler kritisch auswirken kann, der so genannten Fehlertoleranzzeit, aufgedeckt werden können. Zudem muss ein Überführen des Systems in einen sicheren Zustand gewährleistet sein oder die Fehler müssen über wirksame externe Maßnahmen bzgl. des elektronischen Steuerungssystems behandelt werden.Safety categories 3 or 4 require that a single fault in a system component that affects the safety function must not lead to the loss of the safety function. Any errors that result in the loss of the safety function must be detected within the time that the error can have a critical impact, the so-called fault tolerance time. In addition, a transfer of the system to a safe state must be guaranteed or the faults must be dealt with via effective external measures with regard to the electronic control system.

In der besagten Norm wird für Kategorie 3 eine zweikanalige Architektur vorgeschlagen. Dabei werden die steuernden Logikeinheiten mehrfach vorgesehen und die Berechnungen der Logikeinheiten über einen Kreuzvergleich miteinander verglichen. Um mehrere Logikeinheiten vorzusehen, wird der Aufwand an benötigter Hardware erhöht, was auch die Stückkosten für die Maschine erhöht.In the said standard, a two-channel architecture is proposed for category 3. The controlling logic units are provided multiple times and the calculations of the logic units compared with each other via a cross comparison. To provide multiple logic units, the amount of hardware required is increased, which also increases the unit cost of the machine.

In der DE 44 38 714 A1 wird bezüglich einer Steuerung einer Verbrennungskraftmaschine beschrieben, dass in einem Mikrocomputer drei Ebenen vorgesehen werden, eine Funktionsebene, eine Überwachungsebene und eine Kontrollebene, wobei die Funktionsebene die Verbrennungskraftmaschine ansteuert und die Überwachungsebene das Ansteuern überwacht. Die Kontrollebene testet die Speicherelemente und überprüft mittels eines Watchdogs die korrekte Durchführung der Softwarefunktion der Kontrollebene.In the DE 44 38 714 A1 With regard to a control of an internal combustion engine, it is described that three levels are provided in a microcomputer, a functional level, a monitoring level and a control level, wherein the functional level controls the internal combustion engine and the monitoring level monitors the activation. The control plane tests the memory elements and uses a watchdog to check the correct execution of the software function of the control plane.

Aufgabe der Erfindung ist es, ein Verfahren zum Betrieb von hydraulischen Komponenten mittels eines Steuergeräts bereitzustellen, das hohen Sicherheitsanforderungen insbesondere bei geringen Anforderungen an die Hardware des Steuergeräts genügt. Eine weitere Aufgabe der Erfindung ist es, ein Hydraulikkomponenten-Steuergerät bereitzustellen, mit dem auch hohe Sicherheitsanforderungen mit geringem Schaltungsaufwand erfüllt werden können.The object of the invention is to provide a method for operating hydraulic components by means of a control unit, the high safety requirements especially with low requirements on the hardware of the controller is sufficient. Another object of the invention is to provide a hydraulic component control unit, with which even high safety requirements can be met with little circuit complexity.

Erfindungsgemäß wird diese Aufgabe durch den Gegenstand der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.According to the invention, this object is achieved by the subject matter of the independent patent claims. Advantageous developments of the invention are the subject of the dependent claims.

Erfindungsgemäß wird ein Verfahren zum Steuern von hydraulischen Komponenten mittels eines Steuergeräts bereitgestellt, bei dem sich eine Steuerungsfunktion für die Ansteuerung der hydraulischen Komponenten und eine Überwachungsfunktion gegenseitig überwachen.According to the invention, a method is provided for controlling hydraulic components by means of a control device, in which a control function for controlling the hydraulic components and a monitoring function mutually monitor each other.

Dadurch können mit einer recht einfachen Software- und Hardwarestruktur Anforderungen der Sicherheitskategorie 3 oder 4 erfüllt werden. Insbesondere brauchen keine zwei Prozessoren für die unterschiedliche Funktionen, d.h. die Steuerungsfunktion und die Überwachungsfunktion, vorgesehen werden.As a result, requirements of safety category 3 or 4 can be met with a fairly simple software and hardware structure. In particular, there are no need for two processors for the different functions, i. the control function and the monitoring function are provided.

Dabei wird ausgenutzt, dass die Norm DIN EN ISO 13849-1:2006 gemäß Kapitel 6.2.2 auch andere Architekturen als die vorgeschlagenen erlaubt, wenn die Anforderungen der Kategorie eingehalten werden.It is exploited that the standard DIN EN ISO 13849-1: 2006 according to Chapter 6.2.2 also permits other architectures than the proposed ones if the requirements of the category are met.

Da die Steuerungsfunktion so eingerichtet ist, dass sie auch zum Überwachen der Überwachungsfunktion dient, überwachen sich beide Funktionen gegenseitig, so dass auch Einzelfehler der Überwachungsfunktion erkannt werden. Eine herkömmliche, separat ausgeführte Kontrollfunktion, die wiederum die Überwachungsfunktion überwacht, kann eingespart werden.Since the control function is set up so that it also serves to monitor the monitoring function, both functions monitor each other so that individual errors of the monitoring function are detected. A conventional, Separately executed control function, which in turn monitors the monitoring function, can be saved.

Zudem kann ein Watchdog zur Überwachung der Funktionen des Mikrokontrollers vorgesehen werden, wobei der Watchdog vorzugsweise in einer Schaltung außerhalb eines Prozessors des Mikrokontrollers vorgesehen ist und seine Eingangs- und Ausgangssignale von der Überwachungsfunktion empfängt. Der Watchdog hat vorzugsweise die Fähigkeit die Leistungsausgänge des Steuergerätes 20 abzuschalten. Das Vorsehen des Watchdogs außerhalb des Prozessors gewährleistet, dass er von Fehlern des Prozessors nicht betroffen sein kann. Dass nur die Überwachungsfunktion den Watchdog triggert, vereinfacht das Softwarekonzept. Die ununterbrochene Programmausführung auf dem Mikrokontrollers wird bei diesem Konzept nur dann zugelassen, wenn die Überwachungsfunktion nach Überprüfung durch die Steuerungsfunktion ordnungsgemäß aufgerufen wurde und wenn die Überwachungsfunktion die korrekte Funktion der Steuerungsfunktion feststellt und den Watchdog triggert.In addition, a watchdog for monitoring the functions of the microcontroller can be provided, wherein the watchdog is preferably provided in a circuit outside of a processor of the microcontroller and receives its input and output signals from the monitoring function. The watchdog preferably has the ability to disable the power outputs of the controller 20. The provision of the watchdog outside the processor ensures that it can not be affected by processor errors. The fact that only the monitoring function triggers the watchdog simplifies the software concept. Continuous program execution on the microcontroller is only allowed with this concept if the monitoring function has been correctly called after checking by the control function and if the monitoring function detects the correct function of the control function and triggers the watchdog.

Der Watchdog ist vorzugsweise so ausgeführt, dass eine erfolgreiche Triggerung die vollständige Funktion des Mikrokontrollers voraussetzt. Somit führen Fehler im Mikrokontroller zu Abschaltungen des Steuergerätes 20. Gemäß einer besonders bevorzugten Ausführungsform beinhaltet eine Triggerung des Watchdogs, dass die Überwachungsfunktion eine Anfrage des Watchdogs erhält, dass aufgrund der Anfrage die Überwachungsfunktion auf dem Mikrokontroller vorgegebene Operationen ausführt und auf der Grundlage dieser Operationen eine Antwort bereitstellt, und dass der Watchdog die Antwort mit einem Erwartungswert vergleicht. Dadurch weist die Überwachungsfunktion gegenüber dem Watchdog ein ordnungsgemäßes Funktionieren des Mikrokontrollers nach.The watchdog is preferably designed so that a successful triggering requires the full function of the microcontroller. Thus, errors in the microcontroller lead to shutdowns of the control unit 20. According to a particularly preferred embodiment, triggering the watchdog includes that the monitoring function receives a request from the watchdog that, on the basis of the request, the monitoring function executes predetermined operations on the microcontroller and based on these operations Provides response, and that the watchdog compares the answer with an expected value. As a result, the monitoring function with respect to the watchdog after a proper functioning of the microcontroller.

In einer Ausführungsform sind der Überwachungsfunktion 24 auch Eingänge zum Erfassen von Zustandsgrößen der hydraulischen Komponenten zugeführt. Somit werden nicht nur die Stellgrößen für die hydraulischen Komponenten kontrolliert, sondern auch nachfolgende Glieder der Steuerkette. Dies bietet zusätzliche Sicherheit, weil somit sowohl die fehlerhafte Vorgabe einer Stellgröße durch die Steuerungsfunktion als auch zusätzliche Fehler der nachfolgenden Glieder der elektrohydraulischen Steuerkette detektiert werden.In one embodiment, the monitoring function 24 are also supplied inputs for detecting state variables of the hydraulic components. Thus, not only the manipulated variables for the hydraulic components are controlled, but also subsequent links of the timing chain. This provides additional security, because thus both the incorrect specification of a manipulated variable by the control function and additional errors of the subsequent members of the electro-hydraulic timing chain can be detected.

In einer Ausführungsform weist das Steuergerät eine erste Abschalteinrichtung und eine zweite Abschalteinrichtung auf, die beide unabhängig voneinander durch die Überwachungsfunktion bzw. durch die Steuerungsfunktion betätigt werden können. Die Abschalteinrichtungen können z.B. einen Trennschalter für eine Leistungsversorgung von Ausgangsendstufen, einen Resetmechanismus des Mikrokontrollers oder eine erzwungene Vorgabe eines sicheren Sollwerts an die Steuerungsfunktion sein. Die Steuerungsfunktion kann des Weiteren die Ausgänge auf einen sicheren Stellwert - in der Regel stromlos - ansteuern.In one embodiment, the control unit has a first shutdown device and a second shutdown device, both of which can be actuated independently of one another by the monitoring function or by the control function. The shutdown devices may e.g. a disconnect switch for a power supply of output power amplifiers, a reset mechanism of the microcontroller or a forced specification of a safe setpoint to the control function. The control function can also control the outputs to a safe manipulated variable, normally without current.

In einer Ausführungsform wird ein nichtflüchtiger Datenspeicher - beispielsweise ein EEPROM-Speicher oder ein Flash-Speicher - folgendermaßen abgesichert bzw. durch die Überwachungsfunktion geprüft: Der Datenspeicher ist in Datenblöcke, so genannte Pages, unterteilt. Die Daten werden auf einer Page gespeichert und ein zweites Mal in anderer Form auf einer zweiten Page im Datenspeicher, der so genannten Shadowpage gespeichert. Beim Schreiben wird jeweils für die Page und die Shadowpage eine Prüfsumme gerechnet und ebenfalls gespeichert.In one embodiment, a non-volatile data memory-for example an EEPROM memory or a flash memory-is protected as follows or checked by the monitoring function: The data memory is subdivided into data blocks, so-called pages. The data is stored on one page and stored a second time in a different form on a second page in the data memory, the so-called shadow page. When writing each calculated for the page and the shadow page a checksum and also stored.

Bei jedem Lesen von Daten aus dem Datenspeicher erfolgt ein Vergleich der Daten zwischen Page und Shadowpage. Die Prüfsummen der Page und der Shadowpage werden zudem neu berechnet und mit den gespeicherten Prüfsummen verglichen. Bei einem Vergleichsfehler oder einem Prüfsummen-Fehler werden die Daten abhängig vom Fehler wechselseitig restauriert. Falls bei Auftreten von mehreren Fehlern eine Restauration nicht möglich ist, wird eine Fehlermeldung generiert und das Gesamtsystem in einen definierten Zustand überführt. Vorzugsweise führt die Überwachungsfunktion Prüfzugriffe auf den besagten nichtflüchtigen Datenspeicher durch.Each time data is read from the data store, the data is compared between the page and the shadow page. The checksums of the page and the shadow page are also recalculated and compared with the stored checksums. In the case of a comparison error or a checksum error, the data is mutually restored depending on the error. If a restoration is not possible if several errors occur, an error message is generated and the entire system is transferred to a defined state. Preferably, the monitoring function performs check accesses to said nonvolatile data memory.

Besonders vorteilhaft ist das erfindungsgemäße Hydraulikkomponenten-Steuergerät für Antriebshydrauliken oder Arbeitshydrauliken von mobilen Arbeitsmaschinen. Solche mobilen Arbeitsmaschinen bilden aufgrund ihrer Größe und ihrer leistungsstarken Antriebe regelmäßig Risiken für ihre Umgebung.The hydraulic component control device according to the invention for drive hydraulics or working hydraulics of mobile machines is particularly advantageous. Such mobile machines regularly pose risks to their environment due to their size and powerful drives.

Wenn sich die Überwachungsfunktion und die Steuerungsfunktion abwechselnd gegenseitig aufrufen, kann schon der nicht innerhalb einer bestimmten Zeit erfolgte Aufruf als Fehlerzustand erkannt werden. Diese Zeit ist zweckmäßiger Weise die Fehlertoleranzzeit, innerhalb der sich ein Fehler noch nicht kritisch auswirkt. Die Erkennung eines solchen Fehlerzustands erfolgt z.B. über einen Watchdog.If the monitoring function and the control function call each other alternately, the call that was not made within a specific time can already be recognized as an error condition. This time is expediently the fault tolerance time within which an error does not yet have a critical effect. The detection of such an error condition occurs e.g. via a watchdog.

Wenn die Überwachungsfunktion auf einen anderen Speicherbereich zugreift als die Steuerungsfunktion, ist eine einfache Architektur vorhanden, in der Fehler durch unvorhergesehene Speicherzugriffe leicht erkannt werden können.If the monitoring function accesses a memory area other than the control function, then a simple architecture exists in which errors can be easily detected by unforeseen memory accesses.

In einer Ausführungsform führt die Überwachungsfunktion die Berechungen zur Überwachung der Steuerungsfunktion jeweils zweifach durch, wobei die Berechnungen in unterschiedlichen Speicherbereichen durchgeführt werden. Damit wird dafür gesorgt, dass die Wahrscheinlichkeit für das Nichtentdecken eines Fehlers in der Überwachungsfunktion sinkt.In one embodiment, the monitoring function performs the calculations for monitoring the control function two times each, the calculations being performed in different memory areas. This ensures that the probability of not detecting an error in the monitoring function decreases.

Außerdem kann vorgesehen werden, dass die Überwachungsfunktion einen Prüfsummen-Speichertest eines Speicherbereichs durchführt, in welchem der Programmcode u.A. der Überwachungsfunktion oder der Steuerungsfunktion abgelegt sind, damit Fehler schnell erkannt werden.In addition, it can be provided that the monitoring function performs a checksum memory test of a memory area in which the program code u.A. the monitoring function or the control function are stored so that errors are detected quickly.

In einer Ausführungsform wird die Überwachungsfunktion mehrmals aufgerufen und am Anfang und am Ende eines jeden Aufrufs wird jeweils eine Prüfsumme ihres Speicherbereichs berechnet. Die Prüfsumme, die am Anfang eines Aufrufs berechnet wird, wird mit der Prüfsumme, die am Ende de jeweilig vorherigen Aufrufs berechnet wurde, verglichen. Somit wird überprüft, ob der für die Überwachungsfunktion vorgesehene Speicherbereich von anderen Funktionen unzulässig überschrieben wurde.In one embodiment, the monitor function is called multiple times and at the beginning and end of each call, a checksum of its memory area is calculated. The checksum calculated at the beginning of a call is compared to the checksum calculated at the end of each previous call. Thus, it is checked whether the space provided for the monitoring function memory area has been overridden by other functions inadmissible.

Ausführungsbeispiele der Erfindung werden im Folgenden anhand der beigefügten Figuren näher erläutert.

Figur 1
zeigt den Aufbau eines erfindungsgemäßen Hydraulikkomponenten-Steuergeräts.
Figur 2
zeigt die Schritte eines Verfahrens zur Überwachung des Hydraulikkomponenten-Steuergeräts.
Embodiments of the invention are explained in more detail below with reference to the accompanying figures.
FIG. 1
shows the structure of a hydraulic component control device according to the invention.
FIG. 2
shows the steps of a method for monitoring the hydraulic component controller.

Figur 1 zeigt den Aufbau eines erfindungsgemäßen Hydraulikkomponenten-Steuergeräts 20. Bei der Anwendung kommt ein Hydraulikkomponenten-Steuergerät 20, im Folgenden auch Steuergerät 20 genannt, der Firma Bosch Rexroth zum Einsatz. Das Steuergerät 20 enthält einen Mikrocontroller 22, eine erste Abschaltvorrichtung 25, eine zweite Abschaltvorrichtung 26 und einen externen Watchdog 27. Der Mikrocontroller 22 ist einkanalig aufgebaut, enthält demgemäß also einen Prozessor 21. In dem Steuergerät 20 sind neben dem Mikrocontroller 22 auch ein RAM-Speicher 29, ein Flashspeicher 35 und ein EEPROM-Speicher 36 jeweils als einzelne Bauelemente vorgesehen. FIG. 1 shows the structure of a hydraulic component control device 20 according to the invention. In the application, a hydraulic component control unit 20, also referred to below as control unit 20, from Bosch Rexroth is used. The control unit 20 includes a microcontroller 22, a first shutdown device 25, a second shutdown device 26 and an external watchdog 27. The microcontroller 22 is a single-channel, therefore contains a processor 21. In the controller 20 in addition to the microcontroller 22 and a RAM Memory 29, a flash memory 35 and an EEPROM memory 36 each provided as individual components.

Innerhalb des Mikrocontrollers 22 sind die Steuerungsfunktion 23 und die Überwachungsfunktion 24 als Softwareprogramme implementiert. Die Steuerungsfunktion 23 und die Überwachungsfunktion 24 empfangen jeweils das Vorgabesignal 40, das die beiden Funktionen von außen steuert. Die Steuerungsfunktion 23 steuert über das Stellsignal 46 die hydraulischen Komponenten 30, die jeweils eine Antriebs- oder Arbeitsfunktion haben. Die hydraulischen Komponenten sind beispielsweise hydraulische Motoren (Hydromotoren) oder' hydraulische Pumpen. Die Messfühler 31 messen den Zustand der hydraulischen Komponenten 30, beispielsweise ihren Steuerdruck oder ihren Schwenkwinkel. Die entsprechenden Messwerte werden über die Rückkopplungssignalleitung 45 sowohl zu der Steuerungsfunktion 23 als auch zu der Überwachungsfunktion 24 geleitet.Within the microcontroller 22, the control function 23 and the monitoring function 24 are implemented as software programs. The control function 23 and the monitoring function 24 each receive the default signal 40, which controls the two functions from the outside. The control function 23 controls via the control signal 46, the hydraulic components 30, each having a drive or work function. The hydraulic components are, for example, hydraulic motors (hydraulic motors) or hydraulic pumps. The sensors 31 measure the state of the hydraulic components 30, for example their control pressure or their swivel angle. The corresponding measurement values are routed via the feedback signal line 45 to both the control function 23 and the monitoring function 24.

Die Überwachungsfunktion 24 wird in regelmäßigen Abständen von der Steuerungsfunktion 23 aufgerufen und überprüft die Funktion der Steuerungsfunktion 23. Zudem überprüft die Überwachungsfunktion 24 auch sich selbst und die Steuerungsfunktion 23 überprüft auch die Funktion der Überwachungsfunktion 24. Die Steuerungsfunktion 23 und die Überwachungsfunktion 24 benutzen den RAM-Speicher 29 als Arbeitsspeicher. Dabei gibt es einen ersten Speicherbereich 29a, den nur die Steuerungsfunktion 23 verwendet, während den zweiten Speicherbereich 29b lediglich die Überwachungsfunktion 24 verwendet. Die Überwachungsfunktion 24 wird im Folgenden auch als Monitor 24 bezeichnet.The monitoring function 24 is called at regular intervals by the control function 23 and checks the function of the control function 23. In addition, the monitoring function 24 also checks itself and the control function 23 also checks the function of the monitoring function 24. The control function 23 and the monitoring function 24 use the RAM Memory 29 as a working memory. There is a first memory area 29a, which only the control function 23 uses, while the second memory area 29b uses only the monitoring function 24. The monitoring function 24 is also referred to below as monitor 24.

Auf den Flash-Speicher 35 haben die Steuerungsfunktion 23 bzw. die Überwachungsfunktion 24 nur Lesezugriff.The control function 23 and the monitoring function 24 have read access to the flash memory 35 only.

Dadurch, dass auf die ersten und zweiten Speicherbereiche 29a und 29b im fehlerfreien Betrieb nur von einer der Funktionen 23 und 24 schreibend zugegriffen wird, können Fehler durch unerlaubte Speicherzugriffe einfach erkannt werden.Since only one of the functions 23 and 24 accesses the first and second memory areas 29a and 29b in error-free operation, errors due to unauthorized memory accesses can be easily recognized.

Die erste Abschalteinrichtung 25 wird von der Steuerungsfunktion 23 aktiv betätigt, wenn die Steuerungsfunktion 23 einen Fehler detektiert. Entsprechend wird die zweite Abschalteinrichtung 26 betätigt, wenn die Überwachungsfunktion 24 einen Fehler detektiert. Die erste Abschalteinrichtung 25 und die zweite Abschalteinrichtung 26 können jeweils das Steuergerät 20 ausschalen. Der Watchdog 27 kann die zweite Abschalteinrichtung 26 ebenfalls aktiv betätigen, um das Steuergerät 20 bzw. dessen Stellsignal 46 abzuschalten. Beispiele für solche Abschalteinrichtungen 25 und 26 sind ein Zentralschalter, d.h. ein Trennschalter für die Leistungsversorgung eines Ausgangsverstärkers, verschiedene Resetmechanismen des Mikrokontrollers oder eine erzwungene Vorgabe eines sicheren Sollwerts an die Steuerungsfunktion sein. Die Steuerungsfunktion kann des Weiteren die Ausgänge auf einen sicheren Stellwert - in der Regel stromlos - ansteuern.The first shutdown device 25 is actively actuated by the control function 23 when the control function 23 detects an error. Accordingly, the second shutdown device 26 is actuated when the monitoring function 24 detects an error. The first shut-off device 25 and the second shut-off device 26 can each shell out the control unit 20. The watchdog 27 can also actively actuate the second shutdown device 26 in order to switch off the control device 20 or its actuating signal 46. Examples of such shutdown devices 25 and 26 are a central switch, ie a disconnect switch for the power supply of an output amplifier, various reset mechanisms of the microcontroller or a forced specification of a safe setpoint to the control function. The control function can also control the outputs to a safe manipulated variable, normally without current.

In der gezeigten Ausführungsform sind die Abschalteinrichtungen 25 und 26 außerhalb des Mikrokontrollers 22 vorgesehen. Es sind auch Ausführungsformen möglich, bei denen die Abschalteinrichtungen 25 und 26 im Mikrokontroller 22 vorgesehen sind.In the embodiment shown, the turn-off devices 25 and 26 are provided outside the microcontroller 22. Embodiments are also possible in which the turn-off devices 25 and 26 are provided in the microcontroller 22.

Der externe Watchdog 27 wird von dem Monitor 24 getriggert. Dies bedeutet, dass der Monitor 24 in regelmäßigen Abständen ein Triggersignal 42 ausgibt. Falls der externe Watchdog 27 das Triggersignal nicht erhält, schaltet er innerhalb der Fehlertoleranzzeit den Zentralschalter des Steuergeräts 20 ab. Außerdem wird vorzugsweise nach einer weiteren Verzögerung ein Reset des Mikrokontrollers 22 ausgelöst. Diese Verzögerung ist vorgesehen, damit der Steuerungsfunktion 23 Zeit verbleibt, die Ursache des Fehlers abzuspeichern.The external watchdog 27 is triggered by the monitor 24. This means that the monitor 24 outputs a trigger signal 42 at regular intervals. If the external watchdog 27 does not receive the trigger signal, it switches off the central switch of the control unit 20 within the fault tolerance time. In addition, a reset of the microcontroller 22 is preferably triggered after a further delay. This delay is provided to allow the control function 23 time to save the cause of the fault.

Der Zentralschalter ist ein Leistungsschalter im Steuergerät 20, der alle Leistungsausgänge des Steuergeräts 20 gleichzeitig abschaltet. Daneben kann jeder Ausgang einzeln ausgeschaltet werden. Einzeln können die Ausgänge nur eingeschaltet werden, wenn auch der Zentralschalter eingeschaltet ist.The central switch is a circuit breaker in the control unit 20, which switches off all power outputs of the control unit 20 at the same time. In addition, each output can be switched off individually. The outputs can only be switched on individually if the central switch is also switched on.

Zusätzlich zu dem externen Watchdog 27 ist in dem Mikrokontroller 22 ein interner Watchdog 39, der ebenfalls von der Überwachungsfunktion 24 getriggert wird, vorgesehen. Der externe Watchdog 27 bietet eine höhere Sicherheit als der interne Watchdog 39, da ein Fehler innerhalb des Mikrokontrollers 22 auch den internen Watchdog 39 beeinflussen kann.In addition to the external watchdog 27 is in the microcontroller 22, an internal watchdog 39, which also is triggered by the monitoring function 24 provided. The external watchdog 27 offers a higher level of security than the internal watchdog 39, since an error within the microcontroller 22 can also influence the internal watchdog 39.

Für die angesteuerten hydraulischen Komponenten 30 der mobilen Arbeitsmaschine hat die Risikoanalyse für einige Sicherheitsfunktionen Performance Level d entsprechend der Eingangs genannten Norm DIN EN ISO 13849-1:2006 ergeben. Dieser Performance Level wird vorzugsweise mit einer der Kategorie 3 entsprechenden Struktur dargestellt.For the controlled hydraulic components 30 of the mobile working machine, the risk analysis for some safety functions has yielded performance level d in accordance with the aforementioned standard DIN EN ISO 13849-1: 2006. This performance level is preferably represented by a structure corresponding to category 3.

Kategorie 3 bzw. 4 bedeutet, dass ein Einzelfehler in einer Systemkomponente, die die Sicherheitsfunktion beeinflusst, nicht zum Verlust der Sicherheitsfunktion führen darf. Alle Fehler, die zum Verlust der Sicherheitsfunktion führen, müssen innerhalb der Zeit, in der sich der Fehler kritisch auswirken kann, aufgedeckt werden können und ein Überführen des Systems in einen sicheren Zustand muss gewährleistet sein, oder die Fehler müssen über wirksame externe Maßnahmen bzgl. des elektronischen Steuerungssystems behandelt werden.Category 3 or 4 means that a single fault in a system component that influences the safety function must not lead to the loss of the safety function. Any errors that result in the loss of the safety function must be detected within the time that the error can be critical, and the system must be placed in a safe state, or the errors must be remedied by means of effective external measures. of the electronic control system.

Nachfolgend werden Aufbau und Funktion des Monitors 24 und dessen Interaktion mit der Steuerungsfunktion 23 näher erläutert.The structure and function of the monitor 24 and its interaction with the control function 23 will be explained in more detail below.

Der Monitor 24 besteht aus einem eigenen Programmteil mit von den Adressen her separiertem Flash- und RAM-Bereich. Der Monitor 24 überwacht sich selbst und die Steuerungsfunktion 23. Zudem wertet der Monitor 24 die Ergebnisse von Selbsttestfunktionen des Mikrokontrollers 22 aus. Diese sind üblicherweise in einem Bios des Mikrokontrollers 22 vorhanden. Der Monitor kann über den externen Watchdog 27 das Steuergerät 20 abschalten bzw. andere Maßnahmen einleiten, um das System in einen sicheren Zustand zu überführen. Die Steuerungsfunktion 23 überwacht den Monitor 24 und kann das System im Fehlerfall ebenfalls abschalten.The monitor 24 consists of a separate program part with separated from the addresses flash and RAM area. The monitor 24 monitors itself and the control function 23. In addition, the monitor 24 evaluates the results of self-test functions of the microcontroller 22. These are usually in a bios of the microcontroller 22 available. The monitor can switch off the control unit 20 via the external watchdog 27 or initiate other measures to bring the system into a safe state. The control function 23 monitors the monitor 24 and can also shut down the system in the event of an error.

Durch die gegenseitige Überwachung des Monitors 24 und der Steuerungsfunktion 23 wird sichergestellt, dass Fehler in einer der beiden Funktionen rechtzeitig erkannt werden, auch wenn sie innerhalb der eigenen Funktion nicht erkannt werden. Das Aufteilen der Speicherbereiche in solche, die nur von der Steuerungsfunktion 23 und solche, die nur von der Überwachungsfunktion 24 überprüft werden können, sowie die umfangreichen Selbsttests im Monitor 24 - wie später noch genauer beschrieben - und die Verwendung eines Watchdogs, der die einwandfreie Funktion des Mikrokontrollers 22 voraussetzt bewirken, dass der Mirkokontroller 22 und die Speicherbausteine selbst nicht mehrkanalig vorgesehen werden müssen. Der Monitor 24 wird regelmäßig von der Steuerungsfunktion 23 aufgerufen. Die Steuerungsfunktion wartet ihrerseits auf die korrekte Abarbeitung der Überwachungsfunktion bevor weitere Stellwerte berechnet werden. Dadurch wird die Fehlerfreiheit der Überwachungsfunktion 24 in geeigneten Zeitabständen getestet, was eine Anforderung für die Kategorie 3 ist.The mutual monitoring of the monitor 24 and the control function 23 ensures that errors in one of the two functions are recognized in good time, even if they are not recognized within their own function. The division of the memory areas into those that can only be checked by the control function 23 and those that can only be checked by the monitoring function 24, as well as the extensive self-tests in the monitor 24 - as described in more detail later - and the use of a watchdog, the proper function of the microcontroller 22 cause that the Mirkokontroller 22 and the memory modules themselves need not be provided multi-channel. The monitor 24 is called regularly by the control function 23. The control function in turn waits for the correct execution of the monitoring function before further control values are calculated. This tests the accuracy of the monitoring function 24 at appropriate intervals, which is a requirement for category 3.

In Figur 2 wird der Aufruf der Überwachungsfunktion 24 sowie die darin ablaufenden Prüfungen erläutert.In FIG. 2 the call of the monitoring function 24 as well as the tests running therein are explained.

Dabei ist die Figur 2 in vier Spalten aufgeteilt. In der ersten Spalte ist eines der Programmlaufüberwachungsbits PLU der Steuerungsfunktion 23 eingezeichnet. In der zweiten Spalte sind die Programmschritte der Steuerungsfunktion 23, in der dritten Spalte die Programmschritte des Monitors 24 und in der rechten Spalte die Monitorfreigabebits SBFPF [1:7] eingezeichnet. Als erster Schritt ist der Programmschritt Sx der Steuerungsfunktion 23 angezeigt, der die Überwachungsfunktion 24 und dabei den ersten Programmschritt U1 der Überwachungsfunktion aufruft. Während des Schrittes Sx ist das Programmlaufüberwachungsbit PLU[0] auf Null und die Monitorfreigabebits SBFPF [1:7] sind alle auf Null.It is the FIG. 2 divided into four columns. One of the program run monitoring bits PLU of the control function 23 is shown in the first column. In the second column are the program steps of the control function 23, in the third column the program steps of the monitor 24 and in the right column the monitor enable bits SBFPF [1: 7] are drawn. As a first step, the program step Sx of the control function 23 is displayed, which calls the monitoring function 24 and thereby the first program step U1 of the monitoring function. During step Sx, program run watch bit PLU [0] is at zero and monitor enable bits SBFPF [1: 7] are all at zero.

Bei dem Aufruf des Monitors wird in dem Schritt U1 die Prüfung mittels der CRC 16 - Prüfsumme (CRC = cyclic redundancy check) des ersten Speicherbereichs 29b vorgenommen. Dabei wird überprüft, ob die Prüfsumme sich von der Prüfsumme, die am Ende des vorherigen Zyklus berechnet wurde, unterscheidet. Falls die beiden CRC 16- Prüfsummen gleich sind, wird davon ausgegangen, dass der Inhalt des zweiten Speicherbereichs 29b nicht zwischenzeitlich unzulässig beschrieben wurde.When the monitor is called, the check is carried out in step U1 by means of the CRC 16 - checksum (CRC = cyclic redundancy check) of the first memory area 29b. It checks if the checksum is different from the checksum calculated at the end of the previous cycle. If the two CRC 16 checksums are equal, it is assumed that the content of the second memory area 29b has not been described inadmissible in the meantime.

Falls die sich Prüfsummen vom Ende des letzten und vom Anfang des jetzigen Zyklus unterscheiden, wird davon ausgegangen, dass verbotene Speicherübergriffe durch andere Softwareteile, beispielsweise durch Interrupts oder durch die Steuerungsfunktion 23 erfolgt sind oder dass der Speicherbereich hardwareseitig nicht einwandfrei arbeitet.If the checksums differ from the end of the last and the beginning of the current cycle, it is assumed that prohibited memory accesses have been carried out by other software parts, for example by interrupts or by the control function 23, or the memory area does not work properly on the hardware side.

Es wird in Schritt U1 zudem geprüft, ob die Steuerungsfunktion 23 die Monitorfreigabebits SBFBF [1:7] korrekt auf Null zurückgesetzt hat. Falls diese Tests keinen Fehler ergeben, wird das Bit 1 im Freigabebitfeld SBFBF auf 1 gesetzt.It is also checked in step U1 whether the control function 23 has correctly reset the monitor enable bits SBFBF [1: 7] to zero. If these tests do not result in an error, bit 1 in the enable bit field SBFBF is set to 1.

Im Schritt U2 werden der RAM-Stuck-to-Test und der Koppelfehlertest durchgeführt. Falls beide ergeben, dass kein Fehler vorliegt, wird das Bit SBFBF[2] auf 1 gesetzt. Zudem wird vor dem Setzen eines SBFBF Bits geprüft, ob die von den vorher auszuführenden Schritten - hier U1 - zu setzenden Bits tatsächlich gesetzt wurden. Damit ist auch die korrekte Abarbeitung der Überwachungsfunktion 24 überprüfbar.In step U2, the RAM stuck to test and the coupling fault test are performed. If both indicate that there is no error, bit SBFBF [2] is set to 1. In addition, before setting an SBFBF bit, a check is made as to whether the bits to be set by the previously executed steps - here U1 - were actually set. Thus, the correct execution of the monitoring function 24 can be checked.

Der vom Monitor 24 verwendete zweite RAM-Speicherbereich 29b wird in Strukturen zusammengefasst. Über diese Strukturen wird vor Ausführung des Monitors 24 in jedem Zyklus ein Selbsttest ausgeführt. Dieser Test erfasst Stuck-to-Fehler und einfache Koppelfehler zwischen Daten- und/oder Adressleitungen untereinander. Stuck-to-Fehler sind Einzelfehler, bei denen eine Speicherzelle immer einen festen Wert ausgibt, auch wenn sie vorher eigentlich mit einem anderen Wert beschrieben wurde. Durch die Stuck-To-Prüfungen wird das RAM mit Erwartungswerten belegt und geprüft. Dadurch werden auch Fehler in den RAM Zugriffen aufgedeckt. Koppelfehler führen zu Veränderungen von mehreren Speicherbereichen gleichzeitig, wenn nur beabsichtigt ist, einzelne Speicherbereiche zu verändern. Um die Überwachungsfunktion zu testen, werden beispielsweise beim Inbetriebnahmetest durch ein Zusatzmodul über bedingte Kompilierung, das über CAN-Bus-Reizung RAM-Bereiche konfiguriert, Fehler indiziert. Mittels dieser indizierten Fehler wird überprüft, ob der Monitor den Fehler entdeckt.The second RAM memory area 29b used by the monitor 24 is grouped into structures. These structures perform a self-test before execution of the monitor 24 in each cycle. This test captures stuck-to errors and simple coupling errors between data and / or address lines. Stuck-to-errors are single failures in which a memory cell always outputs a fixed value, even if it was previously described with a different value. The stucco-to-test checks the RAM for expected values and checks them. This will also detect errors in the RAM accesses. Coupling errors lead to changes of several memory areas at the same time, if only it is intended to change individual memory areas. In order to test the monitoring function, errors are indicated, for example, during the commissioning test by an additional module via conditional compilation, which configures RAM areas via CAN bus irritation. These indexed errors are used to verify that the monitor detects the error.

In Schritt U3 wird die logische Programmlaufüberwachung der Applikation durchgeführt.In step U3, the logical program run monitoring of the application is performed.

In diesem Schritt wird geprüft, ob das Flag PLU [0] korrekt auf Null gesetzt ist. Falls dies der Fall ist, werden das Bit PLU[0] sowie das Bit SBFBF [3] jeweils auf Eins gesetzt.In this step, it is checked if the PLU [0] flag is correctly set to zero. If so, bit PLU [0] and bit SBFBF [3] are each set to one.

Im Schritt U4 wird der Flashspeicher, in dem der Monitor 24 implementiert ist, getestet.In step U4, the flash memory in which the monitor 24 is implemented is tested.

Der Monitor 24 ist in einer eigenen ROM-Sektion lokalisiert. Diese Sektion wird zyklisch mit einer linearen Prüfsumme auf Veränderung gegenüber dem Hochlauf geprüft. Aus Laufzeitgründen wird pro Zyklus U1 bis U9 nur ein Teil der Prüfsumme berechnet. Nach mehreren durchlaufenen Zyklen ist - noch innerhalb der Fehlertoleranzzeit - der gesamte Bereich durchgerechnet und es kann der Vergleich mit der Prüfsumme beim Hochlauf erfolgen.The monitor 24 is located in a separate ROM section. This section is checked cyclically with a linear checksum for changes to the run-up. For reasons of runtime, only part of the checksum is calculated per cycle U1 to U9. After several cycles, the entire range is calculated - even within the error tolerance time - and the comparison with the checksum during startup can be performed.

Die Korrektheit des Flashs beim Hochlauf würde bei Systemstart durch das BIOS über die CRC-Prüfsummen-Prüfung überprüft.The correctness of the Flash at startup would be checked by the BIOS via the CRC checksum check at system startup.

Falls in dem Schritt U4 kein Fehler auftrat, wird das Bit SBFBF[4] auf 1 gesetzt.If no error occurred in step U4, the SBFBF [4] bit is set to 1.

Die korrekte Verarbeitung von CPU Befehlen wird über Musterrechnungen mit festgelegten Ergebnissen geprüft. Ein zyklischer CPU-Test wird vom BIOS ausgeführt. Das Ergebnis aller BIOS-internen Tests wird von der Überwachungsfunktion 24 abgefragt.The correct processing of CPU commands is checked via sample calculations with specified results. A cyclic CPU test is executed by the BIOS. The result of all BIOS internal tests is queried by the monitoring function 24.

In Schritt U5 werden die Überwachungsfunktionen 1. Instanz durchgeführt. Der Monitor 24 berechnet u.A. unabhängig von der Steuerungsfunktion 23 die von der Steuerungsfunktion auszugebenden Stellwerte. Dabei werden nicht nur die elektronischen Steuerungsfunktionen bis zum Aktuator, sondern des gesamten Antriebstangs über die Rückkopplung von Ausgangssignalen wie Drehzahlen, Hydraulikdrücken bei Fahrantriebsfunktionen oder Winkel bei Arbeitshydraulikfunktion überprüft. Dadurch werden alle über die Steuerungsfunktion verfügbaren Sensorinformationen in die Überwachung mit einbezogen. Durch die Verwendung der Sensorinformationen auch in der Steuerungsfunktion selbst ist die Verfügbarkeit der Signale ständig prüfbar und es entstehen keine erhöhten Stückkosten für die Darstellungen der Sicherheitsfunktion.In step U5, the monitoring functions of the 1st instance are performed. The monitor 24 calculates, among other things, independently of the control function 23, the control values to be output by the control function. Not only the electronic control functions to the actuator, but the entire drive train on the feedback of output signals such as speeds, hydraulic pressures in traction drive functions or angle checked at work hydraulics function. As a result, all sensor information available via the control function is included in the monitoring. By using the sensor information also in the control function itself, the availability of the signals is constantly testable and there are no increased unit costs for the representations of the safety function.

In Schritt U6 werden die Überwachungsroutinen auf einer zweiten Instanz des Monitors 24 durchgeführt. Die Prüfung der applikationsspezifischen Sicherheitsfunktionen erfolgt über zwei Instanzen dieser Struktur. Auf den beiden wird nacheinander gerechnet. Die Ergebnisse werden verglichen. Bei der Berechnung auf der zweiten Instanz wird die gleiche Software Routine in gleicher Hardware, die aber auf einem anderen Datensatz arbeitet, durchgeführt. Der Datensatz ist inhaltlich gleich, von daher wird auch gleiches Rechenergebnis erwartet. Ist dies nicht der Fall, kann auf eine Verfälschung eines der beiden Datensätze geschlossen werden, z.B. durch Interrupts während der Abarbeitung und RAM Überschreibungen.In step U6, the monitoring routines are performed on a second instance of the monitor 24. The application-specific safety functions are checked using two instances of this structure. The two are expected one after the other. The results are compared. In the calculation on the second instance, the same software routine is performed in the same hardware, but working on a different data set. The content of the data set is the same, therefore the same calculation result is expected. If this is not the case, it can be concluded that there is a corruption of one of the two data sets, e.g. through interrupts during execution and RAM overrides.

In Schritt U7 werden die Ergebnisse aus den Schritten U1 bis U6 mit Erwartungswerten verglichen. Je nach Ergebnis des Vergleichs werden definierte Maßnahmen eingeleitet und das Bit SBFBF[7] gesetzt.In step U7, the results from steps U1 to U6 are compared with expected values. Depending on the result of the comparison, defined measures are initiated and bit SBFBF [7] is set.

Wenn durch den Monitor 24 ein fehlerhafter Zustand erkannt wurde, wird eine entsprechende Maßnahme eingeleitet. Diese Maßnahmen umfassen die Aktivierung der beschriebenen Abschalteinrichtungen. Insbesondere unterbleibt auch die Triggerung des externen Watchdogs 27, wodurch eine zuverlässige Einleitung der Abschaltung bzw. die Herstellung eines sicheren Zustandes gewährleistet ist.If a faulty condition has been detected by the monitor 24, a corresponding action is initiated. These Measures include the activation of the described defeat devices. In particular, the triggering of the external watchdog 27 is also omitted, as a result of which a reliable initiation of the disconnection or the establishment of a safe state is ensured.

Die Triggerung des Watchdogs 27 erfolgt in der Art, dass ein Nachweis der ordnungsgemäßen Funktion des Mikrokontrollers 20 gegenüber dem Watchdog 27 erbracht wird. Die Überwachungsfunktion erhält eine Anfrage des Watchdogs 27, auf die sie antworten muss, um die Triggerung zu bewerkstelligen. Das Bereitstellen der Antwort erfordert z.B. Berechnungsvorgänge auf dem Prozessor 21, die Abfrage von Eingangsgrößen, ein Auslesen des Flashspeichers 35, etc. Der Watchdog prüft die Antwort und akzeptiert die Triggerung falls die Antwort einem erwarteten Wert oder Wertebereich entspricht. Andernfalls führt der Watchdog 27 einen sicheren Zustand herbei.The triggering of the watchdog 27 takes place in such a way that a proof of the proper functioning of the microcontroller 20 with respect to the watchdog 27 is provided. The monitoring function receives a request from the watchdog 27 to which it must respond in order to trigger. The provision of the response requires e.g. Computation operations on the processor 21, the query of input variables, a readout of the flash memory 35, etc. The watchdog checks the response and accepts the triggering if the answer corresponds to an expected value or range of values. Otherwise, the watchdog 27 brings about a safe state.

Folgende Bedingungen müssen erfüllt sein, damit durch den Monitor 24 keine Abschaltung erfolgt:

  • Wesentliche Teile der Applikation sind ausgeführt worden. Das wird über die Freigabe-Flags PLU erfasst. Sie werden in der Applikation gesetzt, im Monitor 24 ausgewertet und zurückgesetzt. Das entspricht einer logischen Programmlaufüberwachung der Applikation durch den Monitor 24.
  • Alle Selbstprüfungen des Monitors 24 sind positiv verlaufen. Erkannte Fehler werden nicht zurückgesetzt.
  • Die Berechnung der Sicherheitsfunktionen im Monitor ergeben kein Fehlverhalten.
The following conditions must be met so that the monitor 24 does not switch off:
  • Essential parts of the application have been executed. This is detected via the release flags PLU. They are set in the application, evaluated in monitor 24 and reset. This corresponds to a logical program run monitoring of the application by the monitor 24.
  • All self-tests of the monitor 24 have been positive. Detected errors are not reset.
  • The calculation of the safety functions in the monitor does not result in any malfunction.

Eine andere Reaktionsmöglichkeit ist die Ausgabe eines Warnhinweises an den Bediener. Wenn ein Fehler erkannt wird, dann werden der Bediener der Maschine und/oder die Umgebung optisch oder akustisch gewarnt. In der Bedienungsanleitung für die Maschine ist vermerkt, wie der Bediener auf Warnhinweise zu reagieren hat.Another reaction possibility is the issuing of a warning to the operator. If an error is detected, then the operator of the machine and / or the environment will be warned visually or acoustically. The operating instructions for the machine indicate how the operator has to react to warnings.

Der Monitor 24 kann mit höherer Priorität als die Steuerungsfunktion 23 auf z.B. einen Drehzahlsollwert eines Dieselmotors einer angesteuerten Arbeitsmaschine einwirken und ihn reduzieren.The monitor 24 may have higher priority than the control function 23, e.g. act on a speed setpoint of a diesel engine of a driven machine and reduce it.

Bei einem durch das Steuergerät 20 angesteuerten Hydromotor kann der Monitor 24 den von der Steuerungsfunktion errechneten Stellwert so zurücksetzen, dass der Hydromotor in Richtung des minimalen Schwenkwinkels schwenkt.In a hydraulic motor controlled by the control unit 20, the monitor 24 can reset the control value calculated by the control function such that the hydraulic motor pivots in the direction of the minimum pivoting angle.

Als weitere Reaktionsmöglichkeit ist die Unterbrechung der Ölversorgung der Hydraulik vorgesehen, die zum Beispiel durch ein Ventil am Hydraulikblock erfolgt. Dies ist in der Regel für Arbeitshydrauliken relevant.As a further possibility of reaction, the interruption of the oil supply of the hydraulic system is provided, which takes place, for example, by a valve on the hydraulic block. This is usually relevant for working hydraulics.

In Schritt U8 werden der interne Watchdog 39 und der externe Watchdog 27 getriggert, falls sich aus den Schritten U1 bis U7 ergab, dass die Einleitung eines sicheren Zustands nicht notwendig ist.In step U8, the internal watchdog 39 and the external watchdog 27 are triggered if it was found from the steps U1 to U7 that the initiation of a safe state is not necessary.

Nach der Ausführung des Monitors 28 wird in Schritt U9 über den Inhalt des zweiten Speichers 29b erneut eine CRC-16 Checksumme gebildet. Anschließend wird wieder an die Steuerungsfunktion 23 übergeben, die den Schritt S1 ausführt. In diesem wird geprüft, ob der Monitor 24 das Freigabe-Bitfeld SRFBF vollständig auf 1 gesetzt hat. Somit überprüft auch die Steuerungsfunktion 23 die Überwachungsfunktion 24, was die Wahrscheinlichkeit, dass Fehler in dem Monitor 24 entdeckt werden, erhöht.After the execution of the monitor 28, a CRC-16 check sum is again formed in step U9 via the content of the second memory 29b. Subsequently, the control function 23 is transferred again, which carries out the step S1. In this, it is checked whether the monitor 24 has completely set the enable bit field SRFBF to 1. Thus checked Also, the control function 23, the monitoring function 24, which increases the probability that errors are detected in the monitor 24.

Als Beispiel für die Überwachung einer hydraulischen Komponente wird die Überwachung eines verstellbaren Hydromotors gewählt. Am Hydromotor kann zum Einen das Stellsignal, also dessen Schluckvolumen, und zum Anderen die Drehzahl erfasst werden. Weiter kann z.B. der Zustand einer Parkbremse und die im hydraulischen System zur Verfügung stehenden Drücke erfasst werden. Die Drehzahl des Hydromotors wird von den genannten Größen in einer vorhersehbaren Weise beeinflusst. Zunächst wird das ausgegebene Stellsignal nämlich der Strom für die Einstellung des Schwenkwinkels überprüft. Damit wird die korrekte Funktion der Steuerungsfunktion 23 festgestellt. Zusätzlich wird anhand z.B. der Drehzahl die Reaktion des Hydromotors auf die Stellsignale geprüft. Da das Verhalten von Schwenkwinkel und Drehzahl von den vorgenannten weiteren Messgrößen abhängt, ist die Funktion des hydraulischen Systems prüfbar.As an example for the monitoring of a hydraulic component, the monitoring of an adjustable hydraulic motor is selected. On the hydraulic motor, on the one hand, the control signal, that is, the displacement, and on the other hand, the speed can be detected. Further, e.g. the state of a parking brake and the pressures available in the hydraulic system are detected. The speed of the hydraulic motor is influenced by the variables mentioned in a predictable way. First of all, the output actuating signal, namely the current for setting the swivel angle, is checked. Thus, the correct function of the control function 23 is detected. In addition, based on e.g. the speed of the reaction of the hydraulic motor checked on the control signals. Since the behavior of the swivel angle and speed depends on the aforementioned further measured variables, the function of the hydraulic system can be tested.

Um das Ansprechen des Hydromotors auf die Steuerungsfunktion 23 sicher zu gewährleisten, wird die Verstellung des Hydromotors im Fahr-Betrieb immer wieder durchgeführt und überprüft.In order to reliably ensure the response of the hydraulic motor to the control function 23, the adjustment of the hydraulic motor in driving operation is repeatedly performed and checked.

Um die Überwachungsfunktion 24 zu testen, werden beim Inbetriebnahmetest durch ein Zusatzmodul ein Offset auf den gemessenen Ist-Steuerwert bzw. die Hydromotordrehzahl addiert, um den Fehler zu provozieren. Mittels dieses indizierten Fehlers wird überprüft, ob der Monitor 24 den Fehler entdeckt.To test the monitoring function 24, an offset is added to the measured actual control value or the hydraulic motor speed during the commissioning test by an additional module in order to provoke the error. By means of this indexed error it is checked whether the monitor 24 detects the error.

Generell kann ein nichtflüchtiger Datenspeicher - beispielsweise ein EEPROM-Speicher oder ein Flash-Speicher - folgendermaßen gegen Fehler abgesichert bzw. durch die Überwachungsfunktion geprüft werden: Der Datenspeicher ist in Datenblöcke, so genannte Pages, unterteilt. Die Daten werden auf einer Page gespeichert und ein zweites Mal in anderer Form auf einer zweiten Page im Datenspeicher, der so genannten Shadowpage gespeichert. Beim Schreiben wird jeweils für die Page und die Shadowpage eine Prüfsumme berechnet und ebenfalls gespeichert.In general, a non-volatile data memory-for example an EEPROM memory or a flash memory-can be protected against errors or checked by the monitoring function as follows: The data memory is subdivided into data blocks, so-called pages. The data is stored on one page and stored a second time in a different form on a second page in the data memory, the so-called shadow page. When writing, a checksum is calculated for the page and the shadow page and also saved.

Bei jedem Lesen von Daten aus dem Datenspeicher erfolgt ein Vergleich der Daten zwischen Page und Shadowpage. Die Prüfsummen der Page und der Shadowpage werden zudem neu berechnet und mit den gespeicherten Prüfsummen verglichen. Bei einem Vergleichsfehler oder einem Prüfsummen-Fehler werden die Daten abhängig vom Fehler wechselseitig restauriert. Falls bei Auftreten von mehreren Fehlern eine Restauration nicht möglich ist, wird eine Fehlermeldung generiert und das Gesamtsystem in einen definierten Zustand überführt.Each time data is read from the data store, the data is compared between the page and the shadow page. The checksums of the page and the shadow page are also recalculated and compared with the stored checksums. In the case of a comparison error or a checksum error, the data is mutually restored depending on the error. If a restoration is not possible if several errors occur, an error message is generated and the entire system is transferred to a defined state.

Im Betrieb kann die Überwachungsfunktion Prüfzugriffe auf den besagten nichtflüchtigen Datenspeicher durchführen und so die Fehlerfreiheit testen. Das Lesen der Daten aus dem nichtflüchtiger Datenspeicher wird z.B. durch einen Funktionsaufruf bewerkstelligt. Treten dabei, wie beschrieben, Fehler auf oder kann ein Datenwert innerhalb des Funktionsaufrufs nicht restauriert werden, wird z.B. über die Überwachungsfunktion der sichere Zustand des Systems eingeleitet.During operation, the monitoring function can perform test accesses to the said non-volatile data memory and thus test the absence of errors. The reading of the data from the nonvolatile data memory is accomplished, for example, by a function call. If, as described, errors occur or a data value can not be restored within the function call, the safe state of the system is initiated, for example, via the monitoring function.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

2020
Steuergerätcontrol unit
2121
Prozessorprocessor
2222
Mikrokontrollermicrocontroller
2323
Steuerungsfunktioncontrol function
2424
Überwachungsfunktionmonitoring function
2525
erste Abschalteinrichtungfirst shutdown device
2626
zweite Abschalteinrichtungsecond shutdown device
2727
externer Watchdogexternal watchdog
2929
RAM-SpeicherRAM
29a29a
erster Speicherbereichfirst storage area
29b29b
zweiter Speicherbereichsecond memory area
3030
Antriebs- oder ArbeitsfunktionDrive or work function
3131
Sensorensensors
3535
Flash-SpeicherFlash memory
3636
EEPROMEEPROM
3939
interner Watchdoginternal watchdog
4040
Vorgabesignaledefault signals
4545
RückkoppelsignalleitungFeedback signal line
4646
Stellsignalactuating signal

Claims (19)

Verfahren zum Steuern von hydraulischen Komponenten mittels eines Steuergeräts (20), das einen Mikrokontroller (22) aufweist, wobei das Verfahren folgende Schritte aufweist: - Ansteuern der hydraulischen Komponenten mittels einer in dem Mikrokontroller (22) implementierten Steuerungsfunktion (23); - Überwachen der Steuerungsfunktion (23) mit Hilfe einer auch im Mikrokontroller (22) implementierten Überwachungsfunktion (24); - Überwachen der Überwachungsfunktion (24) durch die Steuerungsfunktion (23). A method of controlling hydraulic components by means of a controller (20) comprising a microcontroller (22), the method comprising the steps of: - Controlling the hydraulic components by means of a in the microcontroller (22) implemented control function (23); - Monitoring the control function (23) by means of a microcontroller (22) implemented monitoring function (24); - Monitoring the monitoring function (24) by the control function (23). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Überwachungsfunktion (24) und die Steuerungsfunktion (23) abwechselnd aufgerufen werden und dass ein fehlerhafter Aufruf wechselseitig erkannt wird.A method according to claim 1, characterized in that the monitoring function (24) and the control function (23) are called alternately and that a faulty call is mutually recognized. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass ein nächster Aufruf der Überwachungsfunktion (24) durch die Steuerungsfunktion (23) bzw. ein nächster Aufruf der Steuerungsfunktion (23) durch die Überwachungsfunktion (24) von einem Ergebnis des durch die jeweils aufrufenden Funktion (23, 24) durchgeführten Überwachungsschritts abhängig ist.A method according to claim 1 or 2, characterized in that a next call of the monitoring function (24) by the control function (23) or a next call of the control function (23) by the monitoring function (24) of a result of the respective calling function (23, 24). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass in Abhängigkeit von einem Ergebnis der Überwachungsschritte, insbesondere bei Erkennen eines Fehlers, eine Ansteuerung eines sicheren Zustands erzwungen wird.Method according to one of claims 1 to 3, characterized in that , depending on a result of the monitoring steps, in particular upon detection of an error, a control of a safe state is enforced. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der durch die Überwachungsfunktion (24) ausgeführte Überwachungsschritt eine Selbstüberwachung der Überwachungsfunktion (24) umfasst.Method according to one of Claims 1 to 4, characterized in that the monitoring step carried out by the monitoring function (24) comprises self-monitoring of the monitoring function (24). Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass in einem nichtflüchtigen Datenspeicher, insbesondere einem EEPROM, Daten redundant abgespeichert sind und jeweils über eine Prüfsumme abgesichert sind, und dass beim Lesen der Daten eine Prüfung auf der Grundlage der Prüfsumme und/oder der Redundanz stattfindet, wobei insbesondere eine Korrektur der ausgegebenen Daten stattfindet.A method according to claim 5, characterized in that in a nonvolatile data memory, in particular an EEPROM, data are stored redundantly and are each secured by a checksum, and that when reading the data takes place a check on the basis of the checksum and / or redundancy, in particular, a correction of the output data takes place. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Überwachungsfunktion in Abhängigkeit von einem Ergebnis des durch sie durchgeführten Überwachungsschritts einen Watchdog (27) triggert.Method according to one of Claims 1 to 6, characterized in that the monitoring function triggers a watchdog (27) as a function of a result of the monitoring step carried out by it. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass eine wiederholte Triggerung des Watchdogs eine fehlerfreie Funktion des Mikroprozessors voraussetzt, wobei seit einer vorherigen Triggerung zumindest die Überwachung der Überwachungsfunktion durch die Steuerungsfunktion und der Überwachungsschritt der Überwachungsfunktion ohne Auffinden eines Fehlers abgearbeitet wurden.A method according to claim 7, characterized in that a repeated triggering of the watchdog requires an error-free operation of the microprocessor, wherein since a previous triggering at least the monitoring of the monitoring function by the control function and the monitoring step of the monitoring function were processed without finding an error. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass eine Triggerung des Watchdogs beinhaltet, dass die Überwachungsfunktion eine Anfrage des Watchdogs erhält, dass aufgrund der Anfrage die Überwachungsfunktion auf dem Mikrokontroller vorgegebene Operationen ausführt und auf der Grundlage dieser Operationen eine Antwort bereitstellt, und dass der Watchdog die Antwort mit einem Erwartungswert vergleicht.A method according to claim 7 or 8, characterized in that a triggering of the watchdog includes that the monitoring function receives a request from the watchdog that due to the request the Monitoring function on the microcontroller performs predetermined operations and provides a response based on these operations, and that the watchdog compares the answer with an expected value. Verfahren nach einem der Ansprüche 1 bis 9, wobei das Steuergerät (20) einen Speicher (29) mit einem ersten Speicherbereich (29a) und einem zweiten Speicherbereich (29b) aufweist, wobei der ersten Speicherbereich (29a) nur von der Steuerungsfunktion (23) beschrieben wird und wobei der zweiten Speicherbereich (29b) nur von der Überwachungsfunktion (24) beschrieben wird.Method according to one of claims 1 to 9, wherein the control device (20) has a memory (29) with a first memory area (29a) and a second memory area (29b), wherein the first memory area (29a) only by the control function (23). and wherein the second memory area (29b) is described only by the monitoring function (24). Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachungsfunktion (24) einen Speichertest des ersten Speicherbereichs (29a) durchführt.A method according to claim 10, characterized in that the monitoring function (24) performs a memory test of the first memory area (29a). Verfahren nach einem der Ansprüche 10 oder 11, dadurch gekennzeichnet, dass die Überwachungsfunktion (24) mehrmals aufgerufen wird, und dass am Anfang und am Ende eines Aufrufs jeweils eine Prüfsumme des zweiten Speicherbereichs (29b) berechnet wird, wobei die Prüfsumme, die am Anfang eines Aufrufs berechnet wird, mit der Prüfsumme, die am Ende des jeweilig vorherigen Aufrufs berechnet wurde, verglichen wird.Method according to one of claims 10 or 11, characterized in that the monitoring function (24) is called several times, and that at the beginning and at the end of a call in each case a checksum of the second memory area (29b) is calculated, the checksum, the beginning of a call is compared with the checksum calculated at the end of the respective previous call. Verfahren nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass die Überwachungsfunktion (24) Berechungen zur Überwachung der Steuerungsfunktion (23) jeweils zweimal durchführt, wobei die Berechnungen in unterschiedlichen Bereichen des zweiten Speicherbereichs durchgeführt werden.Method according to one of claims 10 to 12, characterized in that the monitoring function (24) performs calculations for monitoring the control function (23) in each case twice, wherein the calculations are performed in different areas of the second memory area. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ansteuerung eines sicheren Zustandes einen der folgenden Schritte umfasst, nämlich eine Abschaltung von Ausgängen des Steuergeräts (20), einen Reset des Mikrokontrollers (22), ein Überschreiben einer Sollwertvorgabe der Steuerungsfunktion (23).A method according to claim 4, characterized in that the control of a safe state comprises one of the following steps, namely a shutdown of outputs of the controller (20), a reset of the microcontroller (22), an overwriting of a setpoint specification of the control function (23). Hydraulikkomponenten-Steuergerät zum Steuern von hydraulischen Komponenten, mit einem Mikrokontroller (22), in welchem eine Software zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 14 vorgehalten ist.Hydraulic component control unit for controlling hydraulic components, comprising a microcontroller (22) in which a software for carrying out the method according to one of claims 1 to 14 is provided. Hydraulikkomponenten-Steuergerät nach Anspruch 15, dadurch gekennzeichnet, dass ein Watchdog (27) zur Überwachung der Funktionen eines Prozessors (21) des Mikrokontrollers (22) vorgesehen ist, wobei der Watchdog (27) in einer Schaltung außerhalb des Prozessors (21) vorgesehen ist und der Watchdog (27) seine Eingangssignale von der Überwachungsfunktion (24) empfängt.Hydraulic component control device according to claim 15, characterized in that a watchdog (27) for monitoring the functions of a processor (21) of the microcontroller (22) is provided, wherein the watchdog (27) is provided in a circuit outside the processor (21) and the watchdog (27) receives its input signals from the monitoring function (24). Hydraulikkomponenten-Steuergerät nach einem der Ansprüche 15 oder 16, dadurch gekennzeichnet, dass der Überwachungsfunktion (24) Eingänge zur Erfassung von Zustandsgrößen der hydraulischen Komponenten (30) zugeführt sind.Hydraulic component control unit according to one of claims 15 or 16, characterized in that the monitoring function (24) inputs for detecting state variables of the hydraulic components (30) are supplied. Hydraulikkomponenten-Steuergerät nach einem der Ansprüche 15 bis 17, dadurch gekennzeichnet, dass eine erste Abschalteinrichtung (25) und eine zweite Abschalteinrichtung (26) vorgesehen sind, wobei diese Abschalteinrichtungen (25, 26) unabhängig voneinander durch die Überwachungsfunktion (24) bzw. die Steuerungsfunktion (23) ansteuerbar sind.Hydraulic component control unit according to one of claims 15 to 17, characterized in that a first shut-off device (25) and a second shut-off device (26) are provided, wherein these Shutdown devices (25, 26) are independently controllable by the monitoring function (24) and the control function (23). Verwendung eines Hydraulikkomponenten-Steuergerät nach einem der Ansprüche 15 bis 18 für Antriebshydrauliken oder Arbeitshydrauliken von mobilen Arbeitsmaschinen.Use of a hydraulic component control device according to one of claims 15 to 18 for drive hydraulics or working hydraulics of mobile working machines.
EP09001234A 2008-02-14 2009-01-29 Hydraulic component control device and method for controlling hydraulic components Withdrawn EP2090952A3 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008009392 2008-02-14
DE102008021313A DE102008021313A1 (en) 2008-02-14 2008-03-11 Method for controlling hydraulic components for use in control device, involves implementing control function in microcontroller which is provided in control device, where control function controls hydraulic components

Publications (2)

Publication Number Publication Date
EP2090952A2 true EP2090952A2 (en) 2009-08-19
EP2090952A3 EP2090952A3 (en) 2012-03-28

Family

ID=40602482

Family Applications (1)

Application Number Title Priority Date Filing Date
EP09001234A Withdrawn EP2090952A3 (en) 2008-02-14 2009-01-29 Hydraulic component control device and method for controlling hydraulic components

Country Status (1)

Country Link
EP (1) EP2090952A3 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011072661A1 (en) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Monitoring concept in a control device
WO2011072662A1 (en) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Monitoring computer in a control device
CN104597860A (en) * 2013-10-31 2015-05-06 洛克威尔自动控制技术股份有限公司 Independent Operation of Control Hardware and a Monitoring System in an Automation Controller

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6654648B2 (en) * 2000-04-03 2003-11-25 Toyota Jidosha Kabushiki Kaisha Technique of monitoring abnormality in plurality of CPUs or controllers
DE10052343A1 (en) * 2000-10-21 2002-07-11 Bosch Gmbh Robert Method for controlling a steerby wire steering system
DE10056129A1 (en) * 2000-11-13 2002-05-23 Zf Lenksysteme Gmbh Control system for an actuator in a motor vehicle
FR2864024B1 (en) * 2003-12-22 2006-04-07 Messier Bugatti METHOD FOR MANAGING AN AIRCRAFT BRAKING SYSTEM ARCHITECTURE, AND BRAKING SYSTEM ARCHITECTURE USING THE SAME

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011072661A1 (en) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Monitoring concept in a control device
WO2011072662A1 (en) * 2009-12-18 2011-06-23 Conti Temic Microelectronic Gmbh Monitoring computer in a control device
US8509989B2 (en) 2009-12-18 2013-08-13 Conti Temic Microeletronic GMBH Monitoring concept in a control device
US9068527B2 (en) 2009-12-18 2015-06-30 Conti Temic Microelectronic Gmbh Monitoring computer in a control device
CN104597860A (en) * 2013-10-31 2015-05-06 洛克威尔自动控制技术股份有限公司 Independent Operation of Control Hardware and a Monitoring System in an Automation Controller
EP2869154A1 (en) * 2013-10-31 2015-05-06 Rockwell Automation Technologies, Inc. Independent operation of control hardware and a monitoring system in an automation controller

Also Published As

Publication number Publication date
EP2090952A3 (en) 2012-03-28

Similar Documents

Publication Publication Date Title
EP0418258B2 (en) Control unit for steering the rear wheels of a road service vehicle
EP2422244B1 (en) Safety-related control unit, and method for controlling an automated system
DE102007042353B4 (en) A method for detecting faults in a vehicle system of an active front steering
EP0742505A2 (en) Safety-oriented monitoring device for a machine
DE102011005800A1 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
EP2447843B1 (en) Method for verifying an application program of an error-free memory-programmable control device and memory-programmable control device for carrying out the method
EP0712360B1 (en) Circuitry for regulating braking systems with an antilocking system and/or a drive slip control
EP3428748B1 (en) Method and assembly for operating two redundant systems
DE102013113296A1 (en) Redundant computing architecture
DE19919504A1 (en) Engine controller, engine and method for controlling an engine
EP3571593A1 (en) Redundant processor architecture
EP3073333B1 (en) Burner assembly with a safety device
EP2090952A2 (en) Hydraulic component control device and method for controlling hydraulic components
EP1588380B1 (en) Method for the recognition and/or correction of memory access errors and electronic circuit arrangement for carrying out said method
DE102008034150A1 (en) Circuit arrangement for controlling e.g. piezo-actuator in motor vehicle, has control device including microprocessor to switch another control device to secure condition during malfunction of microprocessor of latter control device
DE102013221098B4 (en) VEHICLE CONTROL UNIT
EP2359254B1 (en) Method and system for controlling communication between a function computer and a monitoring module
DE102007045509B4 (en) Vehicle control unit with a supply voltage monitored microcontroller and associated method
DE102011053580A1 (en) METHOD FOR OPERATING AN ELECTRIC AUXILIARY POWER STEERING
EP2902905B1 (en) Method for checking the processing of software
DE102013021231A1 (en) Method for operating an assistance system of a vehicle and vehicle control unit
DE102011007467A1 (en) Polynuclear integrated microprocessor circuitry for, e.g. vehicle domain computer, has tester to perform time-integral checking of specific components of auxiliary processor structure to and gradually expand checking of other components
DE102008021313A1 (en) Method for controlling hydraulic components for use in control device, involves implementing control function in microcontroller which is provided in control device, where control function controls hydraulic components
EP1205373B1 (en) System for controlling an actuator in a vehicle
DE102013105853A1 (en) Information processing apparatus

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA RS

RIC1 Information provided on ipc code assigned before grant

Ipc: G05B 23/02 20060101AFI20110805BHEP

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA RS

RIC1 Information provided on ipc code assigned before grant

Ipc: G05B 19/042 20060101ALN20120223BHEP

Ipc: G05B 23/02 20060101AFI20120223BHEP

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20120822